Hey Leute,
ich will mal eure Meinung zu etwas hören: Es gibt ja viele Wordpress Plugins mit jeweils mehreren Versionen. Jeder dieser Versionen kann verschiedene Dateien enthalten (abgesehen von den php-Dateien), also beispielsweise Text-Dateien, Bilder etc.
Nun könnte man doch ein kleines Tool entwickeln, dass auf einer Wordpress Page versucht, eben diese Dateien zu finden, da ja der Pfad zu den Dateien doch immer gleich ist: 404 Redirect. Also ich meine, man nimmt die gesamte Datenbank aller Wordpress Plugins auf der Wordpress.org Seite, iteriert über jedes Plugin und prüft, ob auf der entsprechenden Domain Dateien von dem gerade iterierenden Plugin zu finden sind. Falls man dann also Dateien zu einem solchen Plugin findet, kann man eventuell die Version eines Plugins erraten und wenn man diese Informationen hat, eventuell sogar - sofern das entsprechende Plugin mit der Version eine Schwachstelle hat - diese ausnutzen.
Würde so ein Tool (das eben nur die Version und das Plugin herausfindet) - wenn man es programmieren würde - unter den Hackerparagraphen fallen? Macht so ein Tool überhaupt Sinn?
Eine Schutzmaßnahme wäre zumindest mal die, dass man den Ordner pluginname verändert, oder? (Zumindest soweit ich das abschätzen kann)
ich will mal eure Meinung zu etwas hören: Es gibt ja viele Wordpress Plugins mit jeweils mehreren Versionen. Jeder dieser Versionen kann verschiedene Dateien enthalten (abgesehen von den php-Dateien), also beispielsweise Text-Dateien, Bilder etc.
Nun könnte man doch ein kleines Tool entwickeln, dass auf einer Wordpress Page versucht, eben diese Dateien zu finden, da ja der Pfad zu den Dateien doch immer gleich ist: 404 Redirect. Also ich meine, man nimmt die gesamte Datenbank aller Wordpress Plugins auf der Wordpress.org Seite, iteriert über jedes Plugin und prüft, ob auf der entsprechenden Domain Dateien von dem gerade iterierenden Plugin zu finden sind. Falls man dann also Dateien zu einem solchen Plugin findet, kann man eventuell die Version eines Plugins erraten und wenn man diese Informationen hat, eventuell sogar - sofern das entsprechende Plugin mit der Version eine Schwachstelle hat - diese ausnutzen.
Würde so ein Tool (das eben nur die Version und das Plugin herausfindet) - wenn man es programmieren würde - unter den Hackerparagraphen fallen? Macht so ein Tool überhaupt Sinn?
Eine Schutzmaßnahme wäre zumindest mal die, dass man den Ordner pluginname verändert, oder? (Zumindest soweit ich das abschätzen kann)